• IT-Karriere:
  • Services:

Wie Windows-Nutzer den Mikrocode bekommen

Die Auswirkungen auf Meltdown können mit Software-Updates in den Betriebssystemen begrenzt werden, für die Variante 2 von Spectre sind aber Microcode-Updates für die CPUs unerlässlich. Viele Hersteller versuchen derzeit, Updates dafür bereitzustellen. Dabei ist die Verunsicherung offenbar groß, auf detaillierte Anfragen bei mehreren Unternehmen haben wir meist noch keine zufriedenstellende Antwort bekommen.

Stellenmarkt
  1. über Thaddäus Rohrer Personal- und Unternehmensberatung, Ruhrgebiet
  2. DAW SE, Ober-Ramstadt bei Darmstadt

Klar ist: Intel selbst hat zur Mitigation von Spectre in der zweiten Variante, (Branch Target Injection, CVE - 2017-5715) bereits Microcode-Updates entwickelt. Auch AMD stellt optionale Microcode-Updates für Ryzen sowie Epyc bereit und verweist aber darauf, dass ein Angriff über diese Lücke sehr schwer auszunutzen sei. Microcode-Updates für ältere CPU-Modelle will AMD in den kommenden Wochen ausliefern.

Mit dem Microcode steuern CPU-Hersteller die interne Funktionsweise des Prozessors abseits der mit Halbleitern festgelegten Funktionsweisen. Auf einem von uns verwendeten Sony Vaio Pro mit Linux findet sich zum Beispiel aktualisierter Intel-Microcode mit dem Datum 2017-11-20, der gegen Spectre gepatcht ist. Dabei handelt es sich um einen Core i5-4200U auf Haswell-Basis. Intel hat die Updates für Haswell und Broadwell zwischenzeitlich zurückgezogen. Neue Updates werden derzeit getestet und sollen demnächst verteilt werden.

Der Microcode wird nicht dauerhaft auf der CPU abgelegt, sondern jedes Mal beim Start in einen beschreibbaren Speicher (Store) auf dem Chip geladen. Aus diesem Grund wird das Update für Windows-Nutzer auch vom UEFI bereitgestellt und vor dem Boot-Vorgang des Betriebssystems aktiviert.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Intel hat angekündigt, dass 90 Prozent der Chips aus den vergangenen fünf Jahren "innerhalb einer Woche" nach Bekanntwerden der Sicherheitslücken gepatcht würden. Dabei hat der Hersteller das nicht selbst in der Hand.

Denn die entsprechenden Updates hat das Unternehmen den OEM-Herstellern nach eigener Aussage bereits Anfang Dezember zur Verfügung gestellt. Die meisten Hersteller werden den Nutzern die Mikrocode-Updates per Bios-oder UEFI-Update zur Verfügung stellen. Bislang ist kein zuverlässiger Mechanismus bekannt, der ein Update des Microcodes ohne Beteiligung der Bios- oder UEFI-Hersteller ermöglicht.

Grundsätzlich gibt es auch Programme, mit denen Nutzer den Mikrocode selbst aufspielen können. Dies müsste aber nach jedem Start erneut gemacht oder über ein Skript automatisiert werden. Wenn für einen Prozessor neuer Mikrocode von Intel vorliegt, aber kein neues Bios oder UEFI vom Mainboardhersteller oder OEM, könnte dies als Notlösung funktionieren. Für normale Anwender ist dies aber kein empfehlenswerter Weg. Alternativ können Windows-Nutzer ohne Herstellerunterstützung auf eine Linux-Distribution umsteigen.

Auch die Mikrocode-Updates sind nicht perfekt

Intel selbst hat bei einigen der Updates offenbar auch Probleme festgestellt und diese nach Aussage von Lenovo zurückgezogen. Betroffen sind Kaby-Lake- (U/Y, U23e, H/S/X) und Broadwell-Modelle (E). Bei den Kaby-Lake-Chips soll es zu Problemen im Stromsparmodus S3 kommen, die das System anhalten. Bei einigen Broadwell-CPUs hingegen wurden ab und an auftretende Bluescreens während des Startprozesses beobachtet. Wer die Updates bereits installiert hat, soll diese nach Angaben von Intel weiterhin nutzen. Wer dies noch nicht getan hat, soll auf verbesserte Versionen warten.

Ankündigungen gibt es zum Beispiel von Asus und MSI, außerdem von Notebooksherstellern wie Fujitsu und Dell. Der Hersteller MSI hat die Folgen der Veröffentlichungen dabei offenbar nicht vollständig verinnerlicht. In einer Mitteilung schreibt das Unternehmen von "mögliche[n] Sicherheitslücken in der aktuellen Intel-Mikrocode-Version". Spekulativ ist im aktuellen Fall allerdings nicht die Sicherheitslücke, sondern nur die Befehlsausführung der betroffenen Prozessoren.

Dell hat die Updates für zahlreiche Geräte bereits fertig, andere sollen in Kürze folgen. Auch Lenovo hat für zahlreiche Geräte bereits fertige UEFI-Updates, durch die zurückgezogenen Updates von Intel verschiebt sich der Patchzeitraum allerdings teilweise bis Ende Februar. In Lenovos Auflistung fehlen Geräte der X2X-Serien, diese erhalten also offenbar keine Updates.

Surface-Geräte werden direkt von Microsoft ausgestattet

Eine Ausnahme von dieser Regel sind die Surface-Geräte von Microsoft. Diese sollen das Update direkt über Windows-Update erhalten. Damit dürfte die Patchquote bei den Surface-Geräten deutlich höher sein als bei den restlichen PCs.

Denn nicht alle Hersteller bieten eine automatische Überprüfung auf Bios-und UEFI-Updates an. Und selbst wenn Nutzer die Updates angeboten bekommen, dürften viele entweder befürchten, durch die Patches etwas an ihrem Rechner zu zerstören oder die in Rede stehenden Performance-Verluste zu erleiden.

Grundsätzlich sollte Microsoft, ähnlich wie es bei Linux funktioniert, in der Lage sein, aktualisierten Mikrocode während des Bootprozesses zu laden. In einigen Versionen der Server-Betriebssysteme verfährt das Unternehmen auch so. Bislang geschieht dies bei Privatnutzern aber nicht und bisher gab es auch keine wirkliche Notwendigkeit dafür. Ob das Unternehmen sich vorstellen kann, diese Option für Anwender anzubieten, die keine Herstellerunterstützung bekommen, wollte eine Sprecherin auf Nachfrage von Golem.de nicht kommentieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Wie Microsofts Meltdown-Patch funktioniert, ist geheimWas macht Apple für MacOS-Nutzer? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10.  


Anzeige
Spiele-Angebote
  1. für PC, PS4/PS5, Xbox und Switch
  2. 11,99€
  3. (u. a. Metal Gear Solid V: The Definitive Experience für 6,75€, Spiritfarer für 15,99€, Rock...
  4. 4,99€

logged_in 14. Feb 2018

i7-930 hier. Hast sicher auch schon oft nach einem guten Upgrade gesucht, und dann aus...

cryptomagic 08. Feb 2018

Der Frage haben wir uns genauer angenommen, und unsere Ergebnisse in einem Artikel...

daydreamer42 28. Jan 2018

Ohne entsprechende Betriebssystem-Patches sind die Microcode-Patches wertlos. Der Linux...

Bachsau 27. Jan 2018

Eben genau nicht. Man braucht keine Root-Rechte.

Der Held vom... 25. Jan 2018

Du hast aber schon gelesen (und verstanden) was ich schrieb, oder? Von Taktraten war da...


Folgen Sie uns
       


Cowboy 4 ausprobiert

Die urbanen Pedelecs von Cowboy liegen gut auf der Straße und sind dank neuem Motor antrittstärker.

Cowboy 4 ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /